Eine neue APT-Gruppe namens Dark Pink hat Militär- und Regierungsbehörden in zahlreichen Ländern im asiatisch-pazifischen Raum ins Visier genommen, um wertvolle Dokumente zu extrahieren.
Dunkelrosa APT-Gruppe nimmt Ziel und Militär und Regierung
Eine Menge Advanced Persistent Threat (APT)-Angriffe wurde festgestellt, dass es zwischen Juni und Dezember 2022 von einer Gruppe namens Dark Pink auf den Markt gebracht wurde. Die Angriffe wurden gegen mehrere Länder im asiatisch-pazifischen Raum gestartet, darunter Kambodscha, Vietnam, Malaysia, Indonesien und die Philippinen. Auch ein europäisches Land, Bosnien und Herzegowina, wurde ins Visier genommen.
Die Dark Pink-Angriffe wurden zuerst von Albert Priego, einem Malware-Analysten der Group-IB, entdeckt. In einem Group-IB-Blogbeitrag zu den Vorfällen, wurde festgestellt, dass die böswilligen Dark Pink-Anwender „eine neue Reihe von Taktiken, Techniken und Verfahren nutzen, die von bisher bekannten selten verwendet wurden APT-Gruppen." Weiter ins Detail gehend, schrieb Group-IB über ein benutzerdefiniertes Toolkit mit vier verschiedenen Infostealern: TelePowerBot, KamiKakaBot, Cucky und Ctealer.
Diese Infostealer werden von Dark Pink verwendet, um wertvolle Dokumente zu extrahieren, die in Regierungs- und Militärnetzwerken gespeichert sind.
Der ursprüngliche Vektor der Angriffe von Dark Pink soll gewesen sein Spear-Phishing-Kampagnen, wobei sich die Operatoren als Bewerber ausgeben würden. Group-IB stellte außerdem fest, dass Dark Pink die Fähigkeit hat, USB-Geräte zu infizieren, die an kompromittierte Computer angeschlossen sind. Darüber hinaus kann Dark Pink auf die Messenger zugreifen, die auf den infizierten Computern installiert sind.
Group-IB hat auf seiner Twitter-Seite eine Infografik zu den Dark-Pink-Angriffen geteilt, wie unten gezeigt.
Während die meisten Angriffe in Vietnam stattfanden (wobei einer erfolglos blieb), fanden insgesamt fünf weitere Angriffe auch in anderen Nationen statt.
Die Betreiber von Dark Pink sind derzeit unbekannt
Zum Zeitpunkt des Schreibens sind die Betreiber hinter Dark Pink noch unbekannt. Group-IB erklärte jedoch in dem oben genannten Beitrag, dass „eine Mischung aus nationalstaatlichen Bedrohungsakteuren aus China, Nordkorea, Iran und Pakistan“ wurden mit APT-Angriffen in Ländern des asiatisch-pazifischen Raums in Verbindung gebracht. Es wurde jedoch festgestellt, dass Dark Pink anscheinend bereits Mitte 2021 entstanden ist, wobei Mitte 2022 ein Anstieg der Aktivität einsetzte.
Group-IB stellte auch fest, dass das Ziel solcher Angriffe oft darin besteht, Spionage zu begehen, anstatt finanzielle Vorteile zu erzielen.
Die dunkelrosa APT-Gruppe bleibt aktiv
In seinem Blogbeitrag informierte Group-IB die Leser darüber, dass die Dark Pink APT-Gruppe zum Zeitpunkt der Erstellung dieses Artikels (11. Januar 2023) weiterhin aktiv ist. Da die Angriffe erst Ende 2022 endeten, untersucht Group-IB das Problem immer noch und bestimmt seinen Umfang.
Das Unternehmen hofft, die Betreiber dieser Angriffe aufzudecken, und erklärte in seinem Blogbeitrag, dass die zu dem Vorfall durchgeführten Voruntersuchungen „einen langen Weg dorthin gehen sollten Sensibilisierung für die neuen TTPs, die von diesem Bedrohungsakteur verwendet werden, und Unterstützung von Organisationen, die relevanten Schritte zu unternehmen, um sich vor einem potenziell verheerenden APT zu schützen Attacke".
APT-Gruppen stellen eine enorme Sicherheitsbedrohung dar
Advanced Persistent Threat (APT)-Gruppen stellen ein enormes Risiko für Unternehmen auf der ganzen Welt dar. Da die Methoden der Cyberkriminalität immer raffinierter werden, ist nicht abzusehen, welche Art von Angriff APT-Gruppen als nächstes starten werden und welche Folgen dies für das Ziel haben wird.
